GNS3在网络安全实验教学中的应用
Abstract: Network security is an important course of computer network related field, however, many colleges and universities are lack of experimental equipment of the course. In order to improve the teaching effect, the introduction of GNS3 simulator software to assist in the experimental teaching is very important. This paper takes time ACL experiment for example, uses GNS3 to build the experimental platform and introduces the application of simulator software in the network security experiment course.
Key words: network security;GNS3;ACL;experiment course
中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2015)25-0176-02
0 引言
随着我国高等教育改革,应用技能型人才成为大部分高校的人才培养目标。网络安全是网络工程相关专业的一门理论与实践并重的核心课程。对于大部分二本院校的学生,充足的高质量的实践教学可以帮助他们理解“枯燥抽象”的理论知识,提升学习兴趣,提高综合实践能力。
目前开展网络安全实践教学存在着一些困难和问题。第一,大部分的实验设备(如路由器,防火墙,服务器等)价格昂贵,维护成本高,很多院校只能负担少量的设备,不足以满足日常教学需要。第二,学生作为初学者,对于硬软件环境不熟悉,容易出现错误,无法再恢复实验环境,从而影响实验效果。第三,知识更新快,而实验室设备往往不能做到及时更新。综上的这些问题往往会导致实验课时不够,该做的实验没做,或只能进行简单的实验。
1 GNS3模拟器介绍
使用模拟器软件搭建仿真实验环境,可以降低投资成本,减少物理损耗,便于教师监控学生的实验进行情况,也让学生能在课下反复练习,提高实践能力。
GNS3是可以运行在多平台上的图形界面网络虚拟软件。可以通过它完成CCNA,CCNP,CCIE等Cisco认证考试的实验模拟操作。该软件包含了路由器、交换机、防火墙、主机等模块,用户可以根据需求运用不同设备搭建网络实验环境。虽然思科的另一个模拟软件PACKET TRACER更加简单易学,但它有很多命令并不支持,只能作为网络基础的入门学习。GNS3是在计算机中虚拟出网络设备并安装相应的操作系统,虽然占用较多资源,但支持大部分命令,能真实模拟网络设备的行为。下面的这个网络安全实验就是在GNS3环境下运行,但无法用PACKETTRACER软件(PT软件缺乏关键命令)。
2 实验举例―时间ACL仿真实验
GNS3可以仿真很多PT软件不能完成的网络安全实验,如访问控制表ACL配置,PIX/ASA防火墙实验,VPN实验等等。在本例中,使用GNS3搭建实验拓扑,进行时间ACL配置并验证。
2.1 时间ACL实验拓扑结构设计
首先按照实验所要求的网络拓扑图(如图1所示),在GNS3的工作区域中增加设备。本实验需要1台路由器,2台交换机和3台PC机。其中路由器为主要设备,可选2600或更高级的路由器,路由器需要有三个端口分别为E0,E1和S0。
■
2.2 时间ACL实验配置
在GNS3中搭建好实验环境,配置好相关设备IP地址后,可以在路由器上进行具体的时间访问表配置。
①创建时间段,命名为myhttp。
Router(config)#time-range myhttp
Router(config)#absolute start 1:00 1 December 2014 end 24:00 31
December 2014 periodic Saturday 7:00 to Sunday 22:00
②创建扩展访问表,将时间段附加在访问规则中,在该时间段内除了主机10.10.10.50,禁止任何机器ping主机10.20.20.100。
Router(config)#ip access-listextended101
Router(config-ext-nacl)#permiticmphost 10.10.10.50 host 10.20.20.100 time-range myhttp
Router(config-ext-nacl)#deny icmp any host 10.20.20.100
time-range myhttp
Router(config-ext-nacl)#permitipanyany
③将规则应用到指定端口。
Router(config)# interface ethernet1
Router(config-if)#ip access-group 101 out
时间访问列表还有很多模式和组合可以在这个实验中进行,在本例的基础上还能进行很多其他协议的实验。使用GNS3模拟软件可以方便学生在课下对本实验进行补充和扩展,加深对访问控制表的理解和掌握。
2.3 实验结果验证
首先使用show clock命令查看路由器的当前时间,再使用clock set命令将路由器时间改为试验中的myhttp时间段。然后在另2台PC上分别用ping命令测试到主机10.20.20.100的连通性。按照之前设置的ACL规则,主机10.10.10.50可以连通10.20.20.100,但另一台机器不能。
3 结语
本文通过一个实验演示了GNS3模拟软件在网络安全实验教学中的应用。实验表明GNS3可以快速搭建实验环境,既能降低硬件设备的投资成本,又能满足不断更新的教学要求。学生在课外也可以利用GNS3巩固和扩展已学知识,不断创新和实践,成为符合市场需要的应用技能型人才。
